Sanción por incluir a una persona en un fichero de morosos sin comprobar su identidad.

No es la primera vez que nos referimos en este blog al tratamiento de datos personales relativo a la inclusión de tales datos en ficheros de solvencia patrimonial o sistemas de información crediticia por incumplimiento de obligaciones dinerarias, financieras o de crédito. De hecho, en una de nuestras publicaciones (ver aquí) analizábamos cuáles son los requisitos para que la inclusión de una deuda sea lícita; que recordemos, en virtud del artículo 20 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) son entre otros:

  • Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta.
  • Que los datos se refieran a deudas ciertas, vencidas y exigibles, que haya resultado impagadas, y respecto de las cuales no se haya entablado reclamación judicial, arbitral o administrativa.
  • Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, y que una vez se haya procedido a la inclusión se le notifique y se le informe de la posibilidad de ejercitar sus derechos.
  • Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde el vencimiento de la deuda.
  • Que los datos únicamente puedan ser consultados si se mantiene una relación contractual con el afectado que implica el abono de una cuantía pecuniaria o se solicite la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. Si se denegase la celebración del contrato, quien haya consultado el sistema debe informar al afectado del resultado de dicha consulta.

Además, corresponde a la entidad acreedora garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda y que, por ende, se ha respetado el principio de licitud respecto al tratamiento de los datos de carácter personal que exige que el responsable del tratamiento acredite que ha actuado con la diligencia correspondiente para demostrar que la deuda es cierta, vencida y exigible; respondiendo de su inexistencia o inexactitud.

Y es este supuesto de hecho, el objeto de la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a una conocida entidad distribuidora de cosméticos en su reciente Resolución del Procedimiento sancionador N.º: PS/00159/2019 iniciado el 24 de abril de 2019, por infringir lo dispuesto en el artículo 6.1 del Reglamento Europeo de Protección de Datos (RGPD), al incluir los datos personales de una de sus distribuidoras que, supuestamente había realizado un pedido online cuyo abono estaba pendiente, en el fichero de solvencia patrimonial Asnef, sin haber previamente comprobado su identidad y cuando en realidad se estaba falseando el proceso de contratación, empleando un tercero de forma fraudulenta la identidad de la denunciante.

Llegados a este punto, cabe analizar dos puntos clave:

  1. ¿Contaba la entidad con base legitimadora suficiente para tratar los datos personales de su distribuidora?

Dentro de las distintas bases que legitiman la licitud de un tratamiento que reconoce el RGPD en su artículo 6.1, podría en este caso encajar si se cumpliera alguna de estas tres condiciones:

– Que el interesado hubiera otorgado su consentimiento para el tratamiento de sus datos

– Que el tratamiento fuese necesario para la ejecución de un contrato o precontrato

– Que el tratamiento fuese necesario para cumplir con una obligación legal aplicable al responsable del tratamiento

En este caso, la entidad alegaba haber actuado diligentemente conforme a la información que disponía en ese momento a raíz de la existencia de un contrato de distribución debidamente aceptado y firmado de forma electrónica que legitimaba el tratamiento de los datos contenidos en el mismo, si bien reconocía que dicho contrato se formalizó por la reclamante sino por un tercero que utilizó sus datos de forma fraudulenta y dolosa, para poder aprovecharse de las condiciones de financiación que ofrecía la entidad y así adquirir sus productos sin intención de abonarlos.

Al respecto, la AEPD considera que, con relación al criterio adoptado en casos como este por la Sala de lo Contencioso Administrativo de la Audiencia Nacional, cuando el titular de los datos niega la contratación,  la carga de la prueba corresponde a quien afirma su existencia; debiendo el responsable del tratamiento recabar y conservar la documentación que lo acredite.

La entidad aportó como documentación un contrato mercantil de distribución sin firmar y el log de aceptación online que demostraba que los datos de la reclamante se habían obtenido a través de la web. A mayor abundamiento, la persona afectada en todo caso ha negado su formalización.

La AEPD ha determinado en este caso, que no se ha aportado elemento probatorio alguno que acredite que se ha desplegado la diligencia mínima exigible para verificar que la persona era quien afirmaba ser y que, por tanto, no existe legitimación suficiente para el tratamiento de los datos de la persona afectada, produciéndose así una vulneración del articulo 6.1 RGPD.

Ahora bien, según el criterio adoptado en este caso por la AEPD, ¿siempre que se dé la opción de aceptar el tratamiento de los datos a través de una casilla de aceptación online, hay que solicitar una comprobación de la identidad de quien los aporta?

Es cuanto menos sorprendente su forma de proceder en este caso al no considerar como elemento probatorio el log de aceptación online, en relación con lo expuesto en el Considerando 32 del propio RGPD: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal, incluida la marcación de una casilla de un sitio web”.

  1. Prejudicialidad penal

La entidad, en virtud de la denuncia presentada ante la Policía Nacional por la afectada, considera que se ha producido un delito de estafa (artículo 248 y ss. del Código Penal) equiparable a la creación de perfiles falsos en redes sociales a fin de cometer delitos de injurias y calumnias y, en consecuencia, la razón por la que los datos se incorporaron a un fichero de solvencia patrimonial es un error invencible de tipo reconocido en el artículo 14.1 del Código Penal: El error invencible sobre un hecho constitutivo de infracción penal excluye la responsabilidad criminal”. Y, en consecuencia, la entidad solicitaba la suspensión provisional del procedimiento sancionador iniciado por la AEPD a la espera del esclarecimiento de los hechos objeto de investigación penal; todo ello, en virtud de lo dispuesto en el artículo 77.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP):“En los procedimientos de carácter sancionador, los hechos declarados probados por resoluciones  judiciales  penales  firmes  vincularán  a las  Administraciones   Públicas respecto de los procedimientos sancionadores que substancien”.

Ahora bien, por contra, la AEPD considera que no se da la triple identidad necesaria para aplicar el artículo 77 de la LPACAP: mismo sujeto, mismos hechos y mismo fundamento, entre la infracción administrativa y la penal puesto que ni el sujeto infractor es el mismo (el responsable del tratamiento de los datos es la entidad y el responsable penal es el tercero que se hizo pasar por la afectada; ni el fundamento jurídico coincide (el bien jurídico protegido por la LOPDGDD es el derecho fundamental a la protección de datos personales y los bienes jurídico que se protegen en los tipos penales serían el estado civil y el patrimonio.

SANCIÓN

A la hora de establecer la cuantía de la sanción, la AEPD ha tenido en cuenta la procedencia de graduar tal sanción por concurrir factores como el alcance meramente local del tratamiento, que sólo ha resultado afectada una persona o que el daño causado no llega a ser excesivamente significativo.

Por todo lo expuesto, finalmente la AEPD ha tomado la decisión de sancionar con una multa de 60.000 euros a la conocida entidad distribuidora de productos de cosmética.